WonderPush ist ein Push-Benachrichtigungsdienst, der auf den ersten Blick harmlos wirkt – schließlich abonnieren Besucher Benachrichtigungen freiwillig per Klick. Datenschutzrechtlich ist der Dienst aber bereits aktiv, bevor jemand auf „Zulassen“ klickt: Das WonderPush-Script lädt beim Seitenaufruf und speichert eine persönliche Kennung per Cookie auf dem Gerät des Besuchers. Wer WonderPush einsetzt, hat damit mehrere Datenschutzpflichten, die erledigt werden müssen.
Überblick
Was ist WonderPush?
WonderPush ist ein Dienst für Web-Push-Benachrichtigungen, mit dem du Besucher deiner Website per Browser-Benachrichtigung erreichst – auch wenn sie gerade nicht auf deiner Seite sind. Seit 2023 gehört WonderPush zum französischen Anbieter Brevo.
Das WordPress-Plugin bindet den Dienst mit wenigen Klicks ein und ermöglicht automatische Benachrichtigungen bei neuen Beiträgen sowie gezielte Kampagnen für WooCommerce-Shops.
WonderPush – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🔴 | Setzt einen zustimmungspflichtigen Persistent-Cookie mit persönlicher Nutzer-ID. |
| Externe Verbindungen | 🔴 | Lädt beim Seitenaufruf ein Skript von cdn.by.wonderpush.com – Cookie-Banner muss blockieren. |
| Datenschutzerklärung | 🔴 | Eintrag erforderlich wegen Persistent-Cookie, Gerätedaten und Abonnement-Verarbeitung. |
| Drittlandtransfer | 🟢 | Europäische Daten bleiben auf EU-Servern (Google Cloud Europa). |
| Auftragsverarbeitung | 🔴 | WonderPush stellt einen Auftragsverarbeitungsvertrag bereit, der abgeschlossen werden muss. |
| Benutzereingaben | 🔴 | Bei Abonnement werden Gerätedaten und Verhaltensdaten an WonderPush übermittelt. |
Datenverarbeitung
Welche Daten verarbeitet WonderPush auf deiner Website?
WonderPush wird auf zwei Ebenen aktiv. Die erste Ebene betrifft alle Besucher deiner Website: Sobald jemand eine Seite öffnet, lädt das WonderPush-Script und legt eine eindeutige, dauerhafte Nutzerkennung per Cookie auf dem Gerät des Besuchers ab. Diese Kennung dient dazu, denselben Besucher bei späteren Besuchen wiederzuerkennen – unabhängig davon, ob er sich jemals für Push-Benachrichtigungen angemeldet hat.
Die zweite Ebene betrifft Besucher, die aktiv auf „Zulassen“ klicken und Push-Benachrichtigungen abonnieren. Ab diesem Zeitpunkt überträgt WonderPush Geräteinformationen wie Geräte-ID, Browsertyp und Sprache sowie Nutzungsdaten wie besuchte Seiten und Reaktionen auf Benachrichtigungen an seine Server. Diese Daten bleiben dort standardmäßig 90 Tage gespeichert – du kannst diese Frist im WonderPush-Dashboard anpassen. Der Anbieter verarbeitet die Daten also in deinem Auftrag.
Cookies
Setzt WonderPush Cookies auf meiner Website?
WonderPush setzt einen Persistent-Cookie, der eine eindeutige Nutzer-ID auf dem Gerät des Besuchers speichert. Dieser Cookie entsteht, sobald das WonderPush-Script lädt – also beim normalen Seitenaufruf, nicht erst bei einer aktiven Abonnement-Entscheidung. Da der Cookie einzelne Besucher dauerhaft wiedererkennt, ist er zustimmungspflichtig. Dein Cookie-Banner muss diesen Cookie blockieren, bis der Besucher zustimmt.
Externe Verbindungen
Baut WonderPush externe Verbindungen auf?
WonderPush lädt beim Seitenaufruf automatisch ein Skript von cdn.by.wonderpush.com. Diese Verbindung entsteht für alle Besucher deiner Website – unabhängig davon, ob sie Push-Benachrichtigungen abonnieren möchten oder nicht.
Da deine Website auch ohne diesen Dienst vollständig funktioniert, ist die Verbindung nicht technisch zwingend erforderlich. Dein Cookie-Banner muss diese Verbindung blockieren, bis der Besucher zustimmt. Wenn der Banner die Verbindung nicht sperrt, fließen Besucherdaten bereits vor jeder Einwilligung zu WonderPush.
WonderPush auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Was passiert, wenn jemand Push-Benachrichtigungen abonniert?
Wenn ein Besucher dem Browser-Dialog zustimmt und Push-Benachrichtigungen abonniert, überträgt WonderPush folgende Daten an seine Server:
- Geräte-ID und eine eindeutige Abonnenten-Kennung
- Browsertyp und Sprache
- Besuchte Seiten und Sitzungsdauer
- Reaktionen auf versendete Benachrichtigungen (z. B. Klicks, Öffnungen)
Diese Daten entstehen durch eine aktive Handlung des Besuchers – der Push-Dialog ist der Auslöser. Direkt beim Abonnement-Button oder Anmeldeformular muss ein Hinweis auf deine Datenschutzerklärung stehen, der erklärt, welche Daten WonderPush verarbeitet.
Drittlandtransfer
Werden Daten außerhalb der EU gespeichert?
WonderPush speichert Daten europäischer Nutzer auf europäischen Servern von Google Cloud. Ein Transfer in Länder außerhalb der EU findet für diese Daten nicht statt.
Auftragsverarbeitung
Brauche ich einen Vertrag mit WonderPush?
WonderPush verarbeitet Daten deiner Website-Besucher in deinem Auftrag – damit bist du als Website-Betreiber für das verantwortlich, was mit diesen Daten passiert. Für solche Fälle schreibt die DSGVO einen schriftlichen Auftragsverarbeitungsvertrag vor.
WonderPush stellt diesen Vertrag unter wonderpush.com (DPA als PDF) zum Download bereit. Der Vertrag wird durch die Akzeptanz der Nutzungsbedingungen aktiv. Lade das PDF herunter und archiviere es – du musst im Zweifelsfall nachweisen können, dass der Vertrag vorliegt.
Datenschutzerklärung
Muss WonderPush in der Datenschutzerklärung stehen?
WonderPush muss in deiner Datenschutzerklärung erwähnt werden. Der Dienst setzt einen Persistent-Cookie mit Nutzer-ID, verarbeitet Gerätedaten und Nutzungsverhalten deiner Abonnenten und tritt dabei als Auftragsverarbeiter auf. Für den Eintrag brauchst du folgende Angaben:
- Zweck: Versand von Push-Benachrichtigungen und Wiedererkennung von Abonnenten.
- Rechtsgrundlage: Einwilligung.
- Empfänger: WonderPush SAS, 19 avenue d’Italie, 75013 Paris, Frankreich (ein Brevo-Unternehmen).
- Drittlandtransfer: Keiner – europäische Daten bleiben auf EU-Servern.
- Speicherdauer: Standardmäßig 90 Tage, konfigurierbar im WonderPush-Dashboard.
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
WonderPush – Web-Push-Benachrichtigungen
Auf dieser Website setzen wir den Dienst WonderPush der WonderPush SAS, 19 avenue d’Italie, 75013 Paris, Frankreich (ein Unternehmen der Brevo-Gruppe) ein, um Besuchern Web-Push-Benachrichtigungen anzubieten. Beim Aufruf unserer Website lädt WonderPush ein Skript von cdn.by.wonderpush.com und setzt einen dauerhaften Cookie mit einer eindeutigen Nutzerkennung auf deinem Gerät.
Wenn du Push-Benachrichtigungen über die Browser-Anfrage aktivierst, werden zusätzlich Geräte-ID, Browsertyp, Sprache, besuchte Seiten und dein Nutzungsverhalten (z. B. Klicks auf Benachrichtigungen) an WonderPush-Server in der EU übertragen und dort für die Dauer von bis zu 90 Tagen gespeichert.
Wir haben mit WonderPush einen Auftragsverarbeitungsvertrag abgeschlossen. Die Verarbeitung erfolgt auf Grundlage deiner Einwilligung. Du kannst dein Push-Abonnement jederzeit in den Browsereinstellungen widerrufen.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu WonderPush?
Eine echte Alternative zu WonderPush, die bei Push-Benachrichtigungen einen deutlichen Datenschutzvorteil bietet, gibt es nicht.
Alle vergleichbaren Dienste – darunter OneSignal oder PushEngage – setzen ebenfalls auf Persistent-IDs und externe Verbindungen. OneSignal speichert Daten zudem auf US-Servern, was gegenüber WonderPush mit EU-Hosting schlechter abschneidet.
Wer Push-Benachrichtigungen nutzen möchte, hat also keine Option, die ohne Cookie, ohne externe Verbindung und ohne Datenschutzpflichten auskommt.
Fehler
Typische Datenschutzfehler bei WonderPush
Der häufigste Fehler ist ein Cookie-Banner, der das WonderPush-Script nicht blockiert. Das Script lädt beim Seitenaufruf – nicht erst nach dem Abo-Klick. Wenn dein Cookie-Banner die Verbindung zu cdn.by.wonderpush.com nicht sperrt, fließen Daten schon beim ersten Seitenaufruf, ohne dass der Besucher zugestimmt hat.
Ein zweiter verbreiteter Fehler ist das Fehlen des WonderPush-Eintrags in der Datenschutzerklärung. Viele Betreiber ergänzen Push-Dienste nachträglich, vergessen aber, die Datenschutzerklärung zu aktualisieren. Prüfe, ob WonderPush dort mit Zweck, Rechtsgrundlage und Empfänger aufgeführt ist.
Ebenfalls häufig: Der Auftragsverarbeitungsvertrag fehlt oder liegt nicht archiviert vor. Da WonderPush das Dokument nur als PDF bereitstellt, wird es leicht übersehen. Lade das Dokument herunter und speichere es mit den anderen Vertragsunterlagen deiner Website.
DSGVO-Check
So erkennst du WonderPush auf deiner Website
WonderPush ist auf einer Website aktiv, wenn beim Seitenaufruf eine Verbindung zur Domain cdn.by.wonderpush.com aufgebaut wird. Du kannst das direkt in deinem Browser prüfen: Öffne die Entwicklertools (Taste F12 oder Rechtsklick → „Untersuchen“), wechsle auf den Tab „Netzwerk“ und lade die Seite neu. Wenn du dort einen Eintrag mit cdn.by.wonderpush.com siehst, ist WonderPush eingebunden.
Alternativ zeigt dir ein Datenschutz-Scan, ob deine Website diese externe Verbindung aufbaut – zusammen mit allen anderen Diensten, die im Hintergrund aktiv sind.
Quellen und weiterführende Links
- WonderPush – offizielle Website (Deutsch)
- WonderPush – Dokumentation und Knowledge Base
- WonderPush – DSGVO-Compliance-Dokumentation
- WonderPush – Datenschutzrichtlinie
- WonderPush – Auftragsverarbeitungsvertrag (DPA, PDF)
- WordPress.org – WonderPush Plugin-Seite
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.